App Engine Flex - настройка тега сети GCP

Question

Как применить тег правила брандмауэра GCP к экземпляру App Engine Flex?У меня есть проект, где хост-бастион настроен с соответствующими правилами брандмауэра, чтобы разрешить ssh только с 0.0.0.0/0 на машину bh.Тогда хост-бастион является единственным источником, который может подключаться через ssh ко всем виртуальным машинам проекта.Мне нужно применить тег правила брандмауэра «limited-ssh» ко всем экземплярам flex модуля ядра приложения, чтобы разрешить ssh в режиме отладки.

За документацию: цель, которая определяет экземпляры (включая кластеры GKE и экземпляры App Engine Flex), к которым будет применяться правило.Источник: https://cloud.google.com/vpc/docs/firewalls

Похоже, что правила брандмауэра GCP VPC влияют на экземпляр движка приложения flex.Как применить тег брандмауэра ко всем экземплярам flex?

Answer 1

Внутри вашего app.yaml файла есть дополнительная секция network, в которой есть ключ instance_tag, который, кажется, именно то, что вы ищете, так что в итоге вы получите нечто подобное (для примера Python)приложение):

runtime: python
env: flex
entrypoint: gunicorn -b :$PORT main:app

[...]

network:
   instance_tag: restricted_ssh

Ссылка: https://cloud.google.com/appengine/docs/flexible/python/reference/app-yaml#network_settings